Bonnes pratiques pour les affectations de rôle d'administrateur de groupe

Affecter un trop grand nombre de groupes d’administrateurs à un seul administrateur augmente les risques de sécurité et complique la gestion. Cette pratique peut créer des comptes sur-privilégiés et complique l'audit et la gestion des rôles administrateur de votre org. En outre, une appartenance excessive à un groupe peut impacter l'expérience de connexion, entraînant un retard d’accès à l'Admin Console et une latence accrue pour les opérations privilégiées.

Recommandations

Pour maintenir des performances et une réactivité optimales dans l' Admin Console, Okta recommande que chaque administrateur ait un maximum de 500 affectations de groupe incluant des rôles d'administrateur.

Lorsqu'un administrateur se connecte à l' Admin Console, Okta détermine ses autorisations en fonction des rôles d'administrateur qui lui sont affectés (affectés directement ou indirectement par le biais de groupes). La limite recommandée réduit la probabilité d'expiration ou d'accès retardé à l' Admin Console.

Si les administrateurs constatent une augmentation de la latence lors de la connexion ou un ralentissement des temps de chargement de l'interface utilisateur dans l' Admin Console, Okta recommande de vérifier leurs affectations de groupes d'administrateurs pour s'assurer qu'elles se trouvent dans la plage recommandée.

Solution de contournement pour les structures d'administrateur complexes

Si votre org gère une structure administrateur complexe ou doit affecter plusieurs rôles avec des responsabilités différentes, envisagez les approches suivantes :

  • Utiliser moins de groupes d'administrateurs : regrouper les groupes dans la mesure du possible.
  • Affecter directement les rôles lorsque cela est approprié : pour les administrateurs qui ont besoin d'un ensemble unique de privilèges, affectez les rôles directement à l'utilisateur plutôt que par le biais de groupes. Cela peut réduire le nombre total de recherches de groupes nécessaires lorsqu'Okta évalue les autorisations.
  • Examiner les groupes inactifs ou redondants : auditer régulièrement les groupes d'administrateurs pour identifier et supprimer les groupes redondants, inactifs ou obsolètes.
  • Utiliser des affectations administrateur limitées dans le temps : configurer des conditions de demande d'accès pour que les utilisateurs puissent demander un accès administrateur limité dans le temps.

Rapports et maintenance

Utilisez les rapports pour examiner les affectations des rôles administrateur et garantir la conformité avec ces bonnes pratiques. Vous pouvez exécuter des rapports administrateur depuis les pages Rapports et Administrateurs dans l'Admin Console.

Depuis la page Rapports :

  1. Dans l'Admin Console, accédez à RapportsRapports.

  2. Sélectionnez le rapport Affectations du rôle d'administrateur.
  3. Sélectionnez les paramètres de votre rapport.
  4. Cliquez sur Demander le rapport.

Depuis la page Administrateurs :

  1. Dans l'Admin Console, accédez à SécuritéAdministrateurs.

  2. Dans l'onglet Aperçu, cliquez sur Créer un rapport.
  3. Sélectionnez les paramètres de votre rapport.
  4. Cliquez sur Demander le rapport.

Rubriques connexes

Rapport sur l'affectation du rôle d'administrateur

Configurer les administrateurs

Gérer les groupes